HiSolutions Research

Ganz schön forsch: Security-Researcher im Visier

Googles Abteilung Threat Research Group hat eine Kampagne aufgedeckt, mittels derer ein Geheimdienst versucht hat, Forschungsergebnisse zu Schwachstellen zu stehlen. Dafür wurden eigens Netzwerke aus Trollen und Bots – sogenannten Sock Puppets (Sockenpuppen) – aufgesetzt, die mit den Researchern interagiert haben, um deren Vertrauen zu erschleichen. Sogar Gastartikel von realen Expertinnen und Experten konnten die Fake-Forscher für ihre Blogs, in denen zur Tarnung eigene und niederwertige Fake-Forschung publiziert wurde, gewinnen. Diese „Ergebnisse“ und Kooperationen wurden über eine Vielzahl von Social Media Accounts verbreitet und beworben. Ziel der Kampagne schien nach ersten Analysen, eine trojanisierte VS-Projekt-Datei unterzuschieben, die in einigen Fällen Systeme der Researcher erfolgreich kompromittiert hat. Dies stellte sich allerdings nur als Backup-Angriffsvektor heraus. Die eigentliche Kompromittierung erfolgte via Chrome-0-day in Form eines Drive-By-Exploits, der sich in einem Blog befand, von dem ein PGP-Schlüssel zur Übertragung einiger minderwertiger Lock-Exploits (PoCs) heruntergeladen werden sollte.

Im Netz machte sich darob zunächst vor allem (ironischer) Neid breit von Seiten derer, die die Gauner nicht angesprochen hatten. In Zukunft ist also eine weitere mögliche Schwachstelle besonders zu beachten: die eigene Eitelkeit, wenn Fremde zur Kooperation einladen…

https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/

HiSolutions Research

Multi-OS-Strategie: Emotets Trickbot goes Linux

Die Vielseitigkeit der Schadsoftware-Toolchain Emotet beschäftigt seit geraumer Zeit Incident Responder, IT-Forensiker und Administratoren gleichermaßen. Nun kommt eine neue Facette hinzu, indem das angestammte Wirtsbetriebssystem Windows um Linux-Systeme ergänzt wird. Neben den offensichtlichen Linux-Servern (und ggf. -Clients) droht hier auch Persistenz über Embedded Linux in Geräten wie Druckern und Routern.

https://www.heise.de/news/Emotet-Trickbot-nimmt-Linux-Systeme-ins-Visier-4860584.html

Auch die Methodik der Angreifer entwickelt sich weiter, sodass nun reale Dateianhänge in E Mails gestohlen und für Angriffe verwendet werden.

https://www.heise.de/news/Betrueger-Mails-Emotet-klaut-Dateianhaenge-fuer-mehr-Authentizitaet-4857724.html

HiSolutions Research

APT meets Rent-a-Ransom: Cybercrime-as-a-Service 2.0

Die Entstehung und Entwicklung der komplexen Schadsoftware TrickBot, ihrer Vorgänger, Methoden und Verknüpfungen bis hin zu APTs und nordkoreanischen Hackergruppen zu verstehen ist wichtig, um aktuelle Angriffswellen einordnen und verstehen zu können. Kern der Geschichte ist laut Analysten von SentinelOne, dass TrickBot es geschafft habe, die vielen ehemals vereinzelten Bereiche der „Cyber“-Kriminalität wie Banking-Fraud, Ransomware, Diebstahl von persönlichen Informationen und Cryptomining zusammenzubringen und in einer modularen Schadsoftware hochautomatisiert zu verpacken, die dann als Cybercrime-as-a-Service an Dritte vermietet wird.

https://labs.sentinelone.com/the-deadly-planeswalker-how-the-trickbot-group-united-high-tech-crimeware-apt

Technische Details: https://assets.sentinelone.com/labs